Firefox 57.0.4 mit Workaround für Meltdown- und Spectre-Angriffe veröffentlicht
Mozilla hat heute eine neue Version seines Firefox-Browsers veröffentlicht. Es bietet zusätzlichen Schutz vor den schwerwiegenden Sicherheitsproblemen, die kürzlich bei Intel-CPUs aufgetreten sind. Die aktualisierte Version enthält eine Problemumgehung für Meltdown- und Spectre-Schwachstellen.
Wenn Sie sich der Schwachstellen Meltdown und Spectre nicht bewusst sind, haben wir sie in diesen beiden Artikeln ausführlich behandelt:
- Microsoft führt einen Notfall-Fix für Meltdown- und Spectre-CPU-Fehler ein
- Hier sind Windows 7- und 8.1-Fixes für Meltdown- und Spectre-CPU-Fehler
Kurz gesagt, sowohl die Meltdown- als auch die Spectre-Schwachstellen ermöglichen es einem Prozess, die privaten Daten eines anderen Prozesses zu lesen, sogar von außerhalb einer virtuellen Maschine. Dies ist aufgrund der Implementierung von Intel möglich, wie ihre CPUs Daten vorab abrufen. Dies kann nicht nur durch Patchen des Betriebssystems behoben werden. Der Fix umfasst die Aktualisierung des Betriebssystemkernels sowie ein CPU-Mikrocode-Update und möglicherweise sogar ein UEFI/BIOS/Firmware-Update für einige Geräte, um die Exploits vollständig abzuschwächen.
Der Angriff kann sogar mit JavaScript über einen Browser durchgeführt werden. Um den Angriffsvektor zu minimieren, hat Mozilla ein Update für den Firefox-Browser veröffentlicht, das das Problem mildert.
In der offiziellen Ankündigung wird behauptet, dass beide Angriffe auf ein genaues Timing angewiesen sind, daher hilft das Deaktivieren oder Reduzieren der Genauigkeit mehrerer Zeitquellen in Firefox.
Die Bekanntmachung sagt:
Das volle Ausmaß dieser Angriffsklasse wird noch untersucht und wir arbeiten mit Sicherheitsforschern und anderen Browseranbietern zusammen, um die Bedrohung und die Fehlerbehebungen vollständig zu verstehen. Da es sich bei dieser neuen Angriffsklasse um die Messung präziser Zeitintervalle handelt, deaktivieren oder reduzieren wir als partielle, kurzfristige Abwehrmaßnahme die Genauigkeit mehrerer Zeitquellen in Firefox. Dies umfasst sowohl explizite Quellen, wie performance.now(), als auch implizite Quellen, die das Erstellen hochauflösender Timer ermöglichen, nämlich SharedArrayBuffer.
Insbesondere in allen Veröffentlichungskanälen, beginnend mit Firefox 57:
Die Auflösung von performance.now() wird auf 20µs reduziert.
Die SharedArrayBuffer-Funktion ist standardmäßig deaktiviert.
Die aktualisierte Version des Firefox-Browsers ist jetzt zum Download verfügbar für alle unterstützten Betriebssysteme und über das automatische Update-System unter Windows. Wenn Sie ein Firefox-Benutzer sind, stellen Sie sicher, dass Sie die neueste Version der App installiert haben oder der Mozilla-Wartungsdienst installiert ist und ausgeführt wird, damit er automatisch aktualisiert wird.
Microsoft Edge, Internet Explorer und Google Chrome wurden ebenfalls kürzlich aktualisiert, um diese Sicherheitsanfälligkeit zu beheben.
